T

RCE Without Native Code: Exploitation of a Write-What-Where in Internet Explorer

tang2019 / 2019-06-05

2018年年末,我在Internet Explorer浏览器中发现了一个类型混淆漏洞,利用该漏洞可以获得一个write-what-where原语。直到今年4月份,该漏洞才得到了修复,相应的编号为CVE-2019-0752

T

Make Redirection Evil Again: URL Parser Issues in OAuth

tang2019 / 2019-05-20

自2012年以来,OAuth 2.0已被全球各地的在线服务提供商广泛部署。此后,与OAuth相关的安全问题不时被曝光,并且,其中的大多数问题是由协议的实现中的安全问题所致。对于OAuth标准来说,其中的用户代理重定向机制是认证授权过程中的一个相对薄弱环节,因为开发人员和运维人员很难正确地认识、理解和实现所有细微而关键的各种需求。在本文中,我们首先回顾安全社区了解OAuth重定向威胁的历程,并介绍OAuth规范的发展过程,以及针对当前版本的最佳实践。然后,我们将为读者介绍一种新型的OAuth重定向攻击技术,该技术能够通过主流浏览器和移动应用程序中的重定向处理方式来利用URL解析漏洞。

T

tang2019

这个人很懒,没有留下任何介绍

twitter weibo github wechat

热门分类

Web安全 文章:244 篇
事件分析 文章:223 篇
漏洞分析 文章:209 篇
渗透测试 文章:152 篇
木马与病毒 文章:125 篇

最新评论

xiumu

lz1y表哥6

Rook1e

收藏啦

Rook1e

学到了

loopher

滴滴,学习卡,之前看到了一个deep-link的,没有深入这下学到了,谢谢辣

loopher

理由周末时间就搞了这么多,我好菜啊~~